HTB Cat. Получаем приватные данные через XSS в Gitea

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• Точка опоры
• SQL-инъекция
• Продвижение
• Локальное повышение привилегий

Се­год­ня я покажу про­цесс экс­плу­ата­ции двух XSS-уяз­вимос­тей: сна­чала в веб‑при­ложе­нии, что поз­волит нам получить сес­сию адми­нис­тра­тора, а затем — в репози­тории Gitea, что­бы повысить при­виле­гии в Linux. Так­же нам понадо­бит­ся исполь­зовать SQL-инъ­екцию, что­бы получить учет­ные дан­ные при­ложе­ния.

На­ша конеч­ная цель — получе­ние прав супер­поль­зовате­ля на машине Cat с учеб­ной пло­щад­ки Hack The Box. Уро­вень ее слож­ности — сред­ний.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ра, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.53    cat.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Оно поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

Ска­нер нашел два откры­тых пор­та:

• 22 — служ­ба OpenSSH 7.9p1;
• 80 — веб‑сер­вер Apache 2.4.38.

В отче­те ска­ниро­вания видим обна­ружен­ный в кор­невом катало­ге репози­торий .git.

Глав­ная стра­ница сай­та 

Точка входа

Ска­чаем весь репози­торий на локаль­ную машину с помощью git-dumper.

git-dumper http://cat.htb cat

Ко­пиро­вание репози­тория

От­кры­ваем каталог с репози­тори­ем в VS Code и смот­рим исто­рию ком­митов. Находим все­го один ком­мит, а зна­чит, никаких «ста­рых» и «тес­товых» учет­ных дан­ных мы не получим.

Ис­тория ком­митов

Но заполу­чить исходный код веб‑при­ложе­ния — уже боль­шая уда­ча. Изу­чим интерфейс сай­та, что­бы отме­тить инте­рес­ные стра­ницы и фун­кции. В фай­ле vote.php реали­зова­но голосо­вание за котов.

Со­дер­жимое стра­ницы vote.php

Так­же мы можем зарегис­три­ровать­ся на сай­те. Как пра­вило, авто­ризо­ван­ному поль­зовате­лю дос­тупно боль­ше фун­кций, чем обыч­ному посети­телю.

Стра­ница авто­риза­ции 

Точка опоры

Пе­рей­дем к ана­лизу исходно­го кода. В фай­ле join.php содер­жится обра­бот­чик зап­росов регис­тра­ции и авто­риза­ции. Передан­ные дан­ные (нап­ример, имя поль­зовате­ля) сох­раня­ются в базе без про­верок и изме­нений.

Со­дер­жимое фай­ла join.php

Источник: xakep.ru